La perception des risques et leur réalité sont deux choses bien distinctes, et la communication sur les risques réels est importante pour aider les entreprises à mieux s’y préparer. C’est dans ce contexte que Sungard Availability Services, spécialiste de la résilience du système d’information a réuni le 26 avril dernier plusieurs Décideurs IT pour les faire réagir à une étude du Business Continuity Institute (BCI), le « Horizon scan report », et surtout échanger de bonnes pratiques. Car Sungard AS gère en moyenne pour ses clients plus de 100 sinistres réels par an dans le monde entier, dont 12 en France, d’une durée moyenne de 10 jours.

 

Le top 5 des menaces perçues d’après le « Horizon Scan Report » 2018

Le « Horizon Scan Report » est basé sur des enquêtes menées auprès de 700 professionnels de la continuité de Service dans 80 pays pour en savoir plus sur les risques commerciaux majeurs.

  • Menace #1 : les cyber attaques
  • Menace #2 : l’atteinte aux données de l’entreprise (d’autant plus critiques dans le contexte du GDPR/RGPD)
  • Menace #3 : Les incidents IT & Télécom non planifiés
  • Menace #4 : Les interruptions de services d’énergie
  • Menace #5 : Les mauvaises conditions météorologiques

« Mais en France comme ailleurs n’oublions pas que les risques et leur perception varient selon le contexte local mais aussi selon les spécificités des entreprises », explique Eric Buret, Senior Consultant Sécurité et Résilience chez Sungard Availability Services. Certaines zones géographiques et certains secteurs d’activité sont donc plus sensibilisés aux risques que d’autres. Les incidents peuvent également grandement varier d’une année à une autre, c’est pourquoi il est important pour les entreprises de bien analyser chaque évènement, et d’adapter et tester leurs plans de continuité chaque année. Car un plan de continuité prévu pour un risque d’incendie ou de panne IT ne sera pas adapté face à d’autres types d’incidents ayant d’autres répercussions pour les salariés, les clients, les partenaires. »

 

USA versus Europe : une différente perception des risques

L’édition 2018 du « Horizon scan report » montre que la perception des risques aux Etats-Unis par les responsables IT diffère largement de celle de leurs homologues Européens. Des résultats à modérer en fonction des secteurs d’activité et de la culture du risque de ces organisations.

En effet, les catastrophes météorologiques (comme l’ouragan Katrina, ou récemment les inondations dans le Midwest) sont malheureusement fréquentes et en partie prévisibles sur le continent Nord-Américain. Ils représentent plus de la moitié des risques anticipés par les professionnels. Ces risques « naturels » font l’objet de nombreuses analyses et d’un partage de connaissance qui permettent en partie de les anticiper et de s’y préparer.

En Europe, les deux tiers des menaces identifiées sont elles liées aux moyens de communication et à l’informatique, ainsi qu’à la fourniture d’énergie. Ce type d’incidents est moins prévisibles et plus soudain. Il se heurte aussi fréquemment à la frilosité des entreprises à communiquer sur les difficultés rencontrées, pour des raisons d’image de marque et de confidentialité.

Rappelons néanmoins que la communication autour du risque de « crue centennale de la Seine » avait permis en 2016 de sensibiliser de nombreuses entreprises à l’enjeu de la résilience en cas de catastrophe majeure, et à partager leurs bonnes pratiques. Retrouvez sur ce sujet de la crue centennale l’article de Sungard AS.

 

Attention à ne pas confondre continuité et résilience

« Les entreprises sont aujourd’hui sensibilisées à la continuité d’activité, mais il existe encore une confusion entre la continuité et la résilience », commente Eric Buret.

La résilience, c’est-à-dire la capacité pour une entreprise de continuer à opérer et à se relever, suite à un choc extrême, implique en effet 4 dimensions toutes aussi importantes à maîtriser.

  • 1ère dimension : la capacité à gérer les risques – car tous les risques n’ont pas la même valeur ;
  • 2ème dimension : un programme de continuité d’activité (PCA), c’est-à-dire à se préparer à affronter certains scénarios ;
  • 3ème dimension : un plan de gestion de crise, pour faire face à l’imprévu ;
  • 4ème dimension : un système de contrôle interne, dont le rôle est de contrôler la bonne réalisation des trois autres dimensions.

 

Comment intégrer le télétravail dans un plan de résilience

Face à de nombreux risques, la solution du télétravail peut permettre la continuité d’activité, mais le télétravail ne s’improvise pas et doit donc également être anticipé dans le cadre d’un plan de résilience. Il est ainsi important de bien distinguer le télétravail régulier du télétravail occasionnel en cas de force majeure ou crise, tous deux pouvant être prévus dans le cadre de la convention de l’entreprise.

« Le télétravail a des implications légales et techniques, » précise Eric Buret de Sungard Availability Services. « Il ne suffit pas d’obtenir l’accord des managers pour le télétravail des collaborateurs, il faut également s’assurer que le réseau de l’entreprise et ses outils sont effectivement prévus pour accueillir tous ces collaborateurs. Pour des raisons de sécurité il est également conseillé d’équiper les collaborateurs de PC « durcis » et de sensibiliser aux dangers des accès internet publics.

De plus, certaines activités comme les centres d’appel ou encore le trading sont difficilement compatibles avec le travail à domicile ou depuis un espace de travail partagé de type cowork. Pour ces activités il faut prévoir une zone de repli sécurisée où les collaborateurs pourront retrouver leurs environnements de travail sur des postes adaptés.

Enfin, la situation des prestataires externes à l’entreprise doit également être intégrés à la réflexion autour d’un plan de résilience. Pour les DSI qui comptent fréquemment autant (ou plus) de prestataires externes que d’équipes internes il est par exemple possible de prévoir une clause de « réinternalisation » des prestataires externes, en coordination avec le service achat de l’entreprise.

 

Envie de commenter cet article ou de nous proposer votre propre témoignage ? Inscrivez-vous sur Atout DSI !

 

FavoriteLoadingAjouter à mes favoris

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.